O QUE É A NORMA ISO/IEC 27001?
A norma ISO/IEC 27001:2013 é um padrão para a Gestão da Segurança da Informação (SGSI) criado pela International Organization for Standardization (ISO) em parceria com a International Eletrotechnical Comission (IEC). Ambas as organizações têm como objetivos criar padrões internacionais. A ISO 27001 é somente um dos padrões da família ISO/IEC 27001, que traz diversos padrões para a segurança da informação.
QUAL É O OBJETIVO DA NORMA ISO/IEC 27001?
O principal objetivo da norma é o de apoiar empresas de qualquer porte a garantir que seus processos, atividades e informações sejam protegidas de situações adversas que possam impactar negativamente seu negócio, como: prejuízos financeiros, dano a imagem e até da disrupção completa do negócio. Os objetivos da norma são alcançados ao garantir que a proteção das informações ocorra de maneira sistemática e contínua, garantindo que todos os riscos relacionados as informações do negócio estejam corretamente mapeadas e que a empresa selecione medidas para controlar e prevenir a ocorrência das situações adversas. É importante notar que a normativa não traz uma lista fechada ou exaustiva de riscos e soluções mandatórias, mas seu principal aspecto é orientativo, que permite a empresa a identificar quais requisitos se aplicam a seu negócio. Para essa finalidade, a ISO 27001 apresenta 114 controles que são divididos em 14 categorias.
MAS QUAL É A PRINCIPAL VANTAGEM DE SE OBTER A ISO 27001?
Podemos dizer que a principal vantagem de se implementar a norma ISO 27001 é a de demonstrar ao mercado, aos seus clientes, fornecedores, e ao time interno, que a segurança da informação é tratada pela companhia com o nível de proteção que é necessário.
Outro benefício relevante é garantido quando as empresas optam por obter a certificação na norma: elas passam a ter um diferencial competitivo de mercado, demonstrando publicamente seu comprometimento com a segurança da informação em toda a cadeia de negócios e relações que possui. É a chancela definitiva da imagem empresarial.
QUAL OUTRO GANHO MINHA EMPRESA PODE OBTER?
Ao obter a chancela da certificação, sua empresa se coloca em uma posição seleta de empresas que se tornam capacitadas a fazer negócios com grandes grupos nacionais, internacionais ou atuar no mercado estrangeiro.
É que as grandes companhias que realizam o compliance e a gestão de riscos como elemento prioritário de seus negócios, necessitam lidar com fornecedores que possa lhes garantir a segurança necessária no tratamento dos dados que lidam. É, em geral, uma cadeia de responsabilidades, objetivamente definidas em contrato.
O QUE DEVO TER EM MENTE AO BUSCAR A CERTIFICAÇÃO?
O primeiro e mais importante ponto: a Segurança da Informação não é um assunto somente da TI! Ainda ocorre grande confusão em relação a este aspecto, no qual as empresas entendem que a Segurança da Informação é um assunto relacionado somente a TI. O projeto não terá a relevância que deveria ter se for associado somente a área de Tecnologia da Informação. Segurança da Informação é um assunto de todo o negócio: as principais áreas devem serem envolvidas para compreender seus processos e atividades para o mapeamento dos riscos de segurança da informação.
Outro ponto importante, é o de compreender que o programa é vivo, composto por diversas etapas que irão permear principalmente os seguintes aspectos: pessoas, processos e tecnologias. Os colaboradores deverão ser conscientizados e treinados nas políticas e procedimentos, os processos e atividades precisarão ser avaliados para identificar os riscos e tomar as medidas de segurança adequadas, os sistemas deverão ser avaliados para verificar se possuem requisitos de segurança apropriados e tecnologias capazes de proteger e monitorar o ambiente deverão ser adquiridas. Todas essas mudanças irão trazer novas responsabilidades, exigindo que o corpo empresarial se engaje e compreenda o programa para que ele seja efetivo.
QUAL É A VALIDADE DA CERTIFICAÇÃO OBTIDA?
Embora a certificação seja válida por três anos correntes, a normativa prevê que sejam realizadas auditorias de vigilância (semestrais ou anuais), objetivando garantir que o Sistema de Gestão de Segurança da Informação está sendo mantido.
Por fim, podemos concluir que a jornada em busca da certificação compreende uma mudança de postura da alta gestão, que deve vislumbrar a segurança da informação como fator de sucesso na condução de seu negócio, uma vez que, visando obter vantagem competitiva, perceberá o retorno que o negócio terá com o investimento na implementação da norma. Certamente, uma postura admirável, que transmite clareza ao mercado e que garante a segurança de seu negócio.
Perfil do Autor
- Diretor de Riscos e Compliance da NowCy. Advogado sênior, pós-graduado em Direito Empresarial. Especialista em Direito Digital, LGPD, Cibersegurança e Risco Corporativo. Atualmente ocupando posição estratégica na gestão de riscos digitais.
Últimas Postagens
Gestão e estratégia12 de março de 2024Avaliação de Risco: Por que a personalização é importante nessa estratégia?- Gestão e estratégia8 de fevereiro de 2024Regulamentações de Compliance: Como a avaliação de riscos pode ajudar na conformidade das empresas
- Gestão e estratégia30 de janeiro de 2024Avaliação de Riscos: Descubra e mitigue riscos potenciais com uma estratégia abrangente
- Cibersegurança16 de janeiro de 2024A avaliação de riscos como aliada contra os perigos cibernéticos
